upx脫殼(upx脫殼命令)

起因是同學過年期間因阿里云的服務器Redis弱口令（好像是沒設密碼）被提權植入了挖礦病毒，CPU長期占用100%。登錄服務器后，首先使用Top命令，查看CPU占用。

發現CPU占用率達到100%，可是卻沒有相關占用高的進程。想用apt安裝一些軟件，來協助查毒，結果全部報錯，（后證明確實是病毒搞的鬼，清完畢后，apt就能正常使用了）

遂決定手動查毒試一試。進入bin目錄按照時間排序就發現了修改時間為19年2月8日的khugrepaged。正好是CPU第一次100%那天，阿里云發出警告的那天。

將他下載下來，通過VT查詢，發現有多家報毒CoinMiner。使用IDA或Strings者提取字符串，發現有UPX殼，在本機通過upx -d命令進行脫殼。脫殼后再次提取字符串。

發現了大量類似XMR（門羅幣縮寫），礦池相關的字符串，無疑就是挖礦軟件了。但是刪除重啟后，還是會被二次創建。

這時可以使用類似

find ./ -mtime +20 -a -mtime -50 -type f

這樣的命令，查看某個時間段內有哪些文件被修改過。（但是我這里沒有用這種方式。)

其實，會被二次創建完全是情理之中。因為一般挖礦軟件都是開源程序，病毒只是給與他特定的參數為病毒作者挖礦。

這時我首先想到去查看有無定時任務，通過crontab -l查看所有的定時任務。

通過crontab -r刪除所有定時任務。將定時任務中出現的2.jpg下載下來，發現其實是shell腳本。部分內容如下：

該腳本的基本功能是關閉并刪除其他的挖礦軟件和病毒（對的，這個病毒還幫你殺毒23333）然后通過 hxxp://166.78.155.151/164 下載挖礦軟件并運行。

然后喜聞樂見，刪除重啟后，還是再次生成了。這時，我考慮先下手解決進程隱藏的問題。通過查閱一些資料。發現很多病毒會對 /etc/ld.so.preload 做手腳以達到提前運行的目的。

查看該文件。

我們嘗試刪除 ld.so.preload。提示權限不足。

活學活用，在2.jpg的腳本用，看到了大量的chattr -i以及chattr +i的命令，嘗試使用 chattr -i ld.so.preload，再進行rm操作就可以成功刪除了。同理其他刪除不掉的病毒文件。

ld.so.preload文件指向了/usr/local/lib/libftp.so。將libftp.so 拷貝出來后刪除。

再嘗試運行top命令，發現已經可以正常顯示了。可以看到khugrepaged占了98%的CPU。

將libftp.so上傳VT，報毒Processhider。很貼切的名字。對其進行簡單的逆向分析。發現其Hook了readdir函數。并且發現了三個好玩的字符串。

khugrepaged是我們知道的挖礦程序，那么剩下兩個呢。

通過 ps -aux| grep mdmisc 和 ps -aux| grep scsitgtd

看到了這兩個文件的所在位置。使用 ls -al 列出隱藏文件。將mdmisc拷貝后刪除。但是scsitgtd，bin目錄下并沒有找到。

我們先對mdmisc進行簡單分析。字符串提取。

基本可以確定，khugrepaged就是他釋放出來的。然后還修改了DNS等等的操作。

其中的一串命令如下

chattr -i /etc/init.d/mdmisc;rm -f /etc/init.d/mdmisc /etc/rc2.d/S20mdmisc/etc/rc3.d/S20mdmisc /etc/rc4.d/S20mdmisc /etc/rc5.d/S20mdmisc;

查看其中的一個內容如下：

這個是用來啟動mdmisc的。把這里相關的文件也進行刪除。

真正讓人值得注意的是

chmod +x /bin/scsitgtd; /bin/scsitgtd; rm -f /bin/scsitgtd;

這句話。修改為可執行，運行后刪除，這也就是為什么我們可以在進程中看到他，但是不能找到他的原因了。

對這個字符串做交叉引用，看是從哪里下載下來的。

可以看到是通過yxarsh.shop/165下載的。

我們請求一下，果然下載到了。upx脫殼后，IDA打開。

這是添加定時任務的代碼邏輯：

主要功能邏輯：

*本文作者：xuing&吾愛破解